Kişisel Verilerin Korunması Bilisimciler İçin Ne Anlama Geliyor
6698 sayılı Kişisel verilerin korunması kanunu 24 mart 2016 tarihinde yürürlüğe girdi. Bu kanunun yayınlanmasının amacı kişisel verilerin en başta insanların özel hayatı olmak üzere, bireyin temel hak ve özgürlüklerini korumak ve veri toplayıcılarının insanların kişisel verilerini kullandıkları durumlarda uymak zorunda olacakları usul ve esaslar getirmektir.
Makale İçeriği
KİŞİSEL VERİLERİN KORUNMASI KANUNU
Bu kanun 2016 yılında yürürlüğe girmesine rağmen işleyiş itibariyle pek bir anlam ifade etmedi bu makalenin yazıldığı 2017 kasımına kadar da bu durum değişmiş değil. Askıda kalan bu kanunun işlerlik kazanması için Kişisel Verilerin Yok Edilmesi, Silinmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28.10.2017 tarihinde yayınlandı ve 01.01.2018 tarihinde yürürlüğe girecek. Bu kanun yasal boyutu itibariyle hukukçuları, uygulamada veri ve teknoloji ihtiva etmesi nedeniyle de biz Bilişimcileri yakından ilgilendiriyor.
Ben bu kanunu biraz 5651 sayılı kanuna benzetiyorum. Başta biz bilişimciler için 5651 çok birşey ifade etmedi fakat zamanla tüm sistemlerimizi bu kanuna göre loglar tutmaya uygun hale getireceğiz.
Bir IT profosyoneli olarak şirketimin bu konudaki gereksinimlerini ve ihtiyaçlarını belirlemek de benim sorumluluklarımdan biri haline geliyor. Bu konuda çok fazla araştırma yapmak, seminer takip etmek, kanun veya yönetmelik okumak ve edindiğim bilgileri IT profosyoneli meslektaşlarımla paylaşmak da benim için sorumluluk.
Hukukçular kanun çıktıktan sonra çalışmalarına çoktan başladılar. Bu yönetmelik sonrasında hukukçular ile IT profosyonelleri daha sık bir araya gelerek ortak çalışmak zorunda kalacaklar; çünkü bir hukukçu kanunda geçen bilişim terimlerine uzak olabilir veya uygulamada neler yapılabileceğini normal olarak bilmeyebilir, Bir IT ci ise uygulamaya aldığı veriye ilişkin kanuni müeyyideleri bilmeyebilir.
Örnek vermek gerekirse siz şirketinizde bir veri prosedürü yarattınız ve silinen kişisel verileri bu prosedüre göre uygulamaya alacaksınız fakat bir başka kanuna göre bu verinin daha uzun tutulması gerekebilir. Örneğin muhasebesel verilerin 10 yıl boyunca saklanması gerekliliği gibi bu sebeple IT ve hukukçuların ortak çalışması gereken bir platform yaratılması gerekiyor ki Kanunun işlerlik kazanması için oluşturulan komisyon da IT ve hukukçular beraber destek veriyorlar. Peki kişisel verilerin korunması veya bir diğer ifade ile kişisel verilerin yok edilmesi, silinmesi veya anonim hale getirilmesi bilişimciler için ne anlama geliyor neler yapmamız gerekiyor bunun üzerinde duralım.
Kişisel Verilerin Korunması Kanununda Kişisel Veri , Anonim Hale getirme , İlgili Kişi , Kişisel Verilerin İşlenmesi , Veri işleyen , Veri Sorumlusu Nedir?
Kişisel veri kanunu daha iyi anlayabilmek için öncelikle içerisinde geçen tanımlara bakmak gerekiyor. Biz IT sorumluları için önemli olan tanımlar şunlardır, kanunda geçen daha fazla tanım var fakat bizim için önemli olan tanımlar aşağıdaki gibi.
Kişisel Veri ;
Kimliği belli olan veya belirlenebilir gerçek kişiye ait olan her bilgi kişisel veri anlamına geliyor.
Anonim Hale getirme ;
Kişisel verilerin, başka verilerle eşleştirilerek hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi işlemidir.
İlgili Kişi ;
Kişisel veri kanununda geçen ve verisi işlenen gerçek kişi
Kişisel Verilerin İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi olarak tanımlanıyor.
Veri işleyen ;
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi veri işleyen denir.
Veri Sorumlusu ;
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olarak adlandırılıyor.
Kişisel Verilerin Korunması Kanunu hizmeti Dışarıdan Alınabilir mi ?
Bu tanımları yaptıktan sonra aklımıza gelen ilk soru şu oluyor, Özellikle Veri Sorumlusu genelde şirketin Yönetim kurulu olur, ve şirketsel yetkilendirme kapsamında bu kişi IT sorumlusu olarak pekala belirlenebilir. Peki IT sorumlusu verilerin korunması işini Outsource (dış kaynak) bir hizmet olarak alabilir mi?
Bu sorunun cevabı evet, kişisel verilerin korunması kanununa yönelik hizmetler dış kaynak olarak alınabilir, fakat bir denetim durumunda sorumlu olan yine kişisel verileri işleyen şirketin kendisidir, eğer bir tazminat durumunda zararın karşılanması outsource edilen firma tarafından karşılanacaksa bu hizmeti dışarıdan almak mantıklı görünüyor. Fakat şunu unutmamak gerekiyor kanuni sorululuk şirketin kendisine ait olur, outsource edilen firma üzerinde değil.
Kişisel Verilerin Korunması Bilisimciler İçin Ne Anlama Geliyor
Kişisel Verilerin Yok Edilmesi, Silinmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik IT Profosyonelleri açısından ne anlama geliyor?
Bu yönetmelik kişisel veri tutan tüm departmanları ilgilendirse de özellikle IT için yeni sorumlulukları beraberinde getiriyor. Birçok kurum ve kuruluş hibrit olarak veya tamamiyle bulut hizmetlerine geçmiş durumda. Bu kapsamda Google Microsoft gibi devler mevcut ABD ve AB normlarında veri politikaları uyguluyor.
Başta da söylediğimiz gibi Türkiye’de henüz uygulama kapsamında emekleyen bir bebek olan kişisel verilerin korunması kanunu bu kapsamda neler karşımıza çıkaracak net değil. Uygulamada beklenen ise aşağıda yapılması gerekenleri kapsıyor.
Her şirket IT ve Hukuk departmanı ile beraber bir kişisel veri politikası uygulamalı, verilerin ne kadar süre tutulacağı tutulan kişisel verilerin ne kadar zamanda tamamen silineceği ve ne kadar sürede depolanacağını belirleyen bir prosedür hazırlamalı ve bu prosedüre uygun hareket etmeli.
Kişisel verilerin korunması kanunu hakkında bir dilekçenin nasıl olabileceğini diğer makalemde görebilirsiniz